| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hilfe bei HiJackThis-Logfileauswertung - PC verhält sich merkwürdig.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
17.01.2008, 14:26
| #1 |
| |  Bitte um Hilfe bei HiJackThis-Logfileauswertung - PC verhält sich merkwürdig. Hallo, ich habe einen Laptop von einem Freund zur Fehlersuche, die Symptome sind: - die verfügbare Bandbreite ist nur 8 KByte/s, weniger als eine einzelne ISDN-Leitung! (mehrfach mit DSLreports Bandwidth Tester überprüft). Ich habe Arcor DSL-2000, was ein vielfaches der Bandbreite geben sollte. - Windows XP Dienste: BITS ('Hintergrundübertragungsdienst') und Windows Installer werden nach einigen Minuten automatisch beendet und wieder auf Start-Typ 'manual' gesetzt, sogar wenn ich wieder auf 'automatisch' eingestellt und manuell neu gestartet habe. => Gibt es bekannte Malware die so vorgeht? - auch merkwürdig: bei KEINEM DIENST werden Abhängigkeiten angezeigt, weder direkte noch 'reverse dependencies' on this/other services listed)! => es gibt ansonsten keine weiteren Merkmale, keine Popups, entführte Suchen, ... das Problem mit der Bandbreite werde ich mit einem zweiten Router desselben Typs ('SMC Barricade 7004ABR') überprüfen, wenn ich den im Keller gefunden habe  .## Die folgenden Programme haben nichts entdeckt: ## FSecure Blacklight; ****************; GMER Catchme.exe Userland RK-Detector; AVG AntiVirus Free Edition; AVG Anti-Spyware; Spyware Blaster; DarkSpy Anti-Rootkit v1.05; MCAffeeRootkitDetective v1.1.0.1; RootkitRevealer v1.71.0; TrendMicro_rootkitbuster v1.6.1060; WinPatrol; Avira AntiRootkit Tool - Beta v1.0.1.17; IceSword v1.22; BitDefender Free Edition v10 - Virus Scan and Rootkit Scan; Moosoft The Cleaner v5 Free; Moosoft iClean; Code:
ATTFilter StartupList report, 17.01.2008, 14:19:26
StartupList version: 1.52.2
Started from : D:\Security\HiJackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox2\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\unkown\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PFE32.EXE
D:\Security\HiJackThis\HijackThis.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
avgnt = "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
AVG7_CC = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
!AVG Anti-Spyware = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
Windows Defender = "C:\Programme\Windows Defender\MSASCui.exe" -hide
WinPatrol = C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HijackThis startup scan = D:\Security\HiJackThis\HijackThis.exe /startupscan
SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
NVIEW = rundll32.exe nview.dll,nViewLoadHook
**************** = C:\Programme\****************\****************.exe
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\INF\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
--------------------------------------------------
Shell & screensaver key from Registry:
Shell=Explorer.exe
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
Checking for superhidden extensions:
.lnk: not hidden (arrow overlay: yes)
.pif: not hidden (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: not hidden (arrow overlay: NO!)
.url: not hidden (arrow overlay: yes)
.js: not hidden
.jse: not hidden
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll - {C451C08A-EC37-45DF-AAAD-18B51AB5E837}
-----
Enumerating Download Program Files:
[Trend Micro ActiveX Scan Agent 6.6]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Housecall_ActiveX.dll
CODEBASE = http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
[MUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\muweb.dll
CODEBASE = http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199184414957
-----------------------
|
| Themen zu Bitte um Hilfe bei HiJackThis-Logfileauswertung - PC verhält sich merkwürdig. |
| acroiehelper.dll, adobe, antivirus, avira, bitte um hilfe, browser, defender, einstellungen, firefox, helper, hijack, hijackthis, internet, internet explorer, launch, malware, mozilla, mozilla firefox, olympus, outlook express, pdfcreator, problem, registry, reverse, rundll, saver, scan, screensaver, security, server, software, system, userinit.exe, windows, windows defender, windows xp |
Baum-Darstellung